Персональные данные не подлежащие разглашению

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Персональные данные не подлежащие разглашению». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Общий термин, определяющий персональные данные, звучит как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Термин присутствует в законе «О персональных данных», а также упоминается в других нормативных актах. Так, закон «О связи» относит к сведениям об абонентах – физических лицах – фамилию, имя, отчество или псевдоним, а также домашний адрес и другие данные, позволяющие идентифицировать личность.

Выделяют несколько видов персональных данных:

• Общие персональные данные. Например, Ф. И. О., место работы, место регистрации, номер телефона, электронная почта. Такие данные и так могут быть известны некоторым людям, например родственникам, или опубликованы на общедоступных площадках, например в интернете.
• Специальные персональные данные. Они находятся в закрытом доступе, и узнать их можно, только получив согласие человека (субъекта персональных данных) либо в установленном законом порядке (через суд или полицию) при наличии оснований. Как правило, это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
• Биометрические персональные данные. Это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. Например, группа крови, отпечатки пальцев, фотографии или использование функции Face ID. Важный нюанс: такие данные считаются персональными, только если благодаря им можно идентифицировать личность. Если на входе в офис стоит камера с распознанием лиц, то фотография сотрудника — это биометрические персональные данные, так как фото служит, чтобы определить личность.
• Иные персональные данные. Служат дополнением к общим персональным данным и могут часто меняться. Например, данные, которые хранятся в бухгалтерии: информация о заработной плате, период отпуска, трудовой стаж.

Исключения из общего правила

Если организация захочет поспорить с регулятором и счесть ФИО сведениями, прямо не относящимися к ПД, она может привести ряд аргументов:

• сочетание часто встречающихся имени и фамилии без иных сведений не дает однозначной возможности определить человека;
• в одной организации могут работать несколько сотрудников с одинаковыми именами;
• ФИО общедоступны, в отличие от других сведений о гражданах.

Однако эти аргументы не всегда принимаются, поскольку прямое прочтение закона относит к ПД любую информацию о человеке. Такая позиция связана с одномерным принятием требований международного законодательства, которые нужно было отразить в национальном для вступления в ВТО. Существующее в среде экспертов мнение о том, что имя относится к категории обезличенных данных, неверно. Закон под обезличиванием понимает определенный процесс, происходящий при помощи программных и технических средств и позволяющий превратить конкретные записи в общий массив информации, из которого невозможно вычленить сведения, относящиеся к конкретному лицу. Существуют разъяснения регулятора (Приказ Роскомнадзора № 996), которыми определяются требования к методам проведения обезличивания. Они предельно конкретны, очевидно, что само по себе отсутствие возможности идентифицировать лицо по кратким сведениям о нем не делает эти данные обезличенными.

Среди характеристик методов преобразования сведений:

• обратимость – возможность программными способами устранить анонимность и вернуть ПД к первоначальному виду;
• вариативность, или возможность изменить метод обезличивания в процессе обработки;
• стойкость, или способность метода противостоять внешним атакам на массив ПД с целью их деобезличивания;
• возможность косвенного деобезличивания в едином массиве с данными других операторов;
• совместимость, при которой в одном массиве окажутся данные, обезличенные разными методами;
• небольшой параметрический объем;
• возможность контроля качества данных.

Регулятор называет четыре типа методов устранения высокой степени идентифицированности персональных данных, не отказывая оператору в возможности предложить собственное решение:

• метод идентификаторов, при котором учетная запись маркируется метками, позволяющими найти полные данные в таблице;
• изменение семантики, при котором удаляется или заменяется часть информации;
• декомпозиция, или разбиение большого объема сведений на несколько отдельно хранящихся массивов;
• перемешивание персональных данных, принадлежащих различным субъектам.

Общедоступные данные по-новому

С 1 марта 2021 года вместо общедоступных данных появилось понятие «персональные данные, разрешенные субъектом персональных данных для распространения» – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).

При этом под распространением персональных данных в новой редакции понимаются действия, направленные на их раскрытие неопределенному кругу лиц.

К сведению: в прежней редакции закона распространением назывались действия, направленные на передачу ПД определенному кругу лиц или на ознакомление с ПД неограниченным кругом лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПД каким-либо иным способом.

Таким образом, прежде чем разместить для неограниченного круга лиц (на сайте организации, в печатных изданиях, в рекламе и т. д.) персональные данные работника, нужно получить его согласие.

Требования к согласию

Основные требования к согласию установлены ст. 10.1 Закона № 152-ФЗ.

Составляя согласие, работодатель должен предоставить работнику возможность определить список тех персональных данных, которые он разрешает распространять, по каждой категории (общие, специальные, биометрические).

В согласии должно быть четко сформулировано, на что конкретно согласен работник. Если он не согласен с распространением или не указал специальные условия обработки для некоторых категорий персональных данных и их перечень – такие сведения можно только обрабатывать, без распространения (передачи, предоставления и иных действий) неограниченному кругу лиц.

Если из согласия не совсем понятно, что можно делать с ПД, а что нельзя, лучше ничего не публиковать.

Обратите внимание: молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных для распространения.

Получает согласие работодатель в первую очередь непосредственно от работника. А с 1 июля 2021 года его можно будет оформить с использованием инфосистемы Роскомнадзора.

Работодатель обязан опубликовать информацию об условиях обработки персональных данных и запретах, наложенных субъектом, в течение трех дней после получения согласия. Где ее публиковать – пока непонятно. Придется ждать разъяснений Роскомнадзора.

Нельзя запретить публиковать персональные данные, если они распространяются в государственных, общественных и иных публичных интересах, определенных законами РФ.

Работник может в любой момент потребовать запретить распространение своих ПД. Это требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД и перечень данных, обработка которых подлежит прекращению. Действие согласия прекращается с момента получения работодателем такого требования.

Обратиться с запретом на распространение своих ПД субъект может к любому лицу, обрабатывающему его данные, при несоблюдении этим лицом требований ст. 10.1 Закона № 152-ФЗ. Можно и обратиться в суд. Распространение данных должно прекратиться:

• в течение трех рабочих дней с момента обращения;

• или в срок, указанный в постановлении суда;

• или в течение трех рабочих дней с момента вступления решения суда в законную силу.

Что такое обработка персональных данных?

Обработка ПД – это любое действие с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

• работодатель заключил с вами трудовой договор, и вы передали в отдел кадров свои документы, где была создана папка с вашим личным делом, – работодатель осуществил сбор, запись и хранение ПД;
• работодатель передал ваши данные типографии для печати визитки – он осуществил передачу ПД;
• продавец сжег документы, в которых содержались данные покупателей, – он уничтожил ПД;
• покупатель при покупке товара через интернет передал владельцу сайта свои ПД – указал Ф.И.О., адрес, почту и телефон. Данные были сохранены в электронной базе сайта – его владелец осуществил сбор, запись и хранение ПД.

Из примеров видно, что ваши ПД могут храниться как на бумажных носителях, так и на электронных.

Могут ли отказать в предоставлении товаров, оказании услуг или выполнении работ, если я не хочу давать согласие на обработку ПД?

На практике отказывают довольно часто. Насколько это законно? Рассмотрим конкретные ситуации.

• Госорганы не могут отказывать вам в предоставлении услуг, поскольку у них есть право на обработку ПД без вашего согласия.
• Коммерческие организации, с которыми вы заключили договор оказания услуг (выполнения работ и т.д.), не должны вам отказывать, поскольку имеют право обрабатывать ваши ПД в целях исполнения договора без вашего согласия.

С другой стороны, если договор еще не подписан, то обязать коммерческую организацию заключить его с вами получится только в том случае, если она продает свои товары, работы или услуги по публичной оферте (это предложение продавца заключить договор купли-продажи с каждым, кто примет условия его предложения).Например: продавец реализует товар через интернет и готов продать его на условиях, изложенных в опубликованной на сайте публичной оферте. Он обязан заключить договор купли-продажи с каждым, кто пожелает купить этот товар.

Вас могут не пустить в здание, особенно если это режимный объект. Если на территории организации установлен особый пропускной режим, то отказ в пропуске может считаться законным, в том числе если вы не желаете дать согласие на обработку ПД.

Вместе с тем операторы, устанавливающие такой пропускной режим, обычно не берут согласий, поскольку:

• считают, что формально вы даете согласие на обработку ПД в момент предоставления своих паспортных данных; данный вывод они делают на основе указания закона о том, что согласие может быть дано не только в письменной форме;
• считают, что могут не брать у вас согласие, так как обработка осуществляется в целях безопасности лиц, находящихся в здании.

Однако оба довода являются спорными.

1. Персональные данные — это любая информация о человеке и его деятельности. Чаще всего персональными считают данные в связках: не просто имя, а имя и номер телефона или имя и место работы. Но иногда персональными могут признать и данные без связок, так как чёткого
определения в законе нет.
2. Чтобы собирать и хранить персональные данные, нужно подготовить политику конфиденциальности и другие документы, подать уведомление в Роскомнадзор и назначить ответственных сотрудников.
3. Хранить и использовать персональные данные можно только с согласия клиентов, даже если они сами выложили их в интернет. Нельзя хранить лишнюю информацию — ту, которая не нужна для вашей бизнес-задачи.
4. За нарушение закона о персональных данных грозят штрафы.

Блок 1. «Любая информация»

Персональными данными могут считаться любые сведения о субъекте:

• объективные (имя лица, номер телефона, адрес электронной почты);
• субъективные (субъективные оценки, мнения относительно конкретного лица).

На практике субъективные персональные данные активно используются в финансовом секторе (например, банк определяет уровень платежеспособности клиента) или в трудовых отношениях (оценка эффективности работы конкретного работника (KPI).

В то же время необязательно, чтобы информация была правдивой. Если у контролера данных есть возможность идентифицировать лицо по сведениям, которые не соответствуют действительности, они все равно составляют персональные данные по GDPR.

Персональные данные могут быть выражены в форме:

• букв (имя человека);
• цифр (идентификационный код лица);
• графики (рисунок (картина), что позволяет идентифицировать его автора)
• фото (фото в паспорте);
• звука (запись телефонного разговора с работником банка);
• видео (запись с камер видеонаблюдения).

Ответственность за распространение номера телефона и адреса электронной почты

Распространение персональных данных представляет собой действия, направленные на раскрытие персональных данных неопределенному кругу лиц (п. 5 ст. 3 Закона N 152-ФЗ).

Лица, виновные в нарушении требований Закона N 152-ФЗ, несут предусмотренную законодательством РФ ответственность (ч. 1 ст. 24 Закона N 152-ФЗ).

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа (ч. 2 ст. 13.11 КоАП РФ):

• на граждан в размере от 3 000 до 5 000 руб.;

• на должностных лиц — от 10 000 до 20 000 руб.;

• на юридических лиц — от 15 000 до 75 000 руб.

Причиненный вследствие нарушения прав субъекта персональных данных моральный вред также подлежит возмещению в соответствии с законодательством РФ (ст. ст. 1099 — 1101 ГК РФ, ст. 24 Закона N 152-ФЗ).

Новые штрафы за нарушение правил обработки персональных данных

Неправомерная (без соответствующего согласия) обработка и распространение общедоступных персональных данных, равно как и отказ от их удаления из общего доступа по требованию граждан, влечет для организаций и ИП штрафы по ч. 1 ст. 13.11 КоАП РФ. Эта норма предусматривает для ИП и должностных лиц организаций в размере от 5 000 до 10 000 рублей, а для самих организаций – от 30 000 до 50 000 рублей.

Но уже с 27 марта 2021 года штрафы за совершение вышеуказанных нарушений будут в значительной степени увеличены (Федеральный закон от 24.02.2021 № 19-ФЗ). Так, штраф для ИП и должностных лиц организаций составит от 10 000 до 20 000 рублей, а для организаций – от 60 000 до 100 000 рублей.

Повторное нарушение повлечет взыскание штрафа с должностных лиц организаций в размере от 20 000 до 50 000 рублей, с ИП – в размере от 50 000 до 100 000 рублей, а с организаций – в размере от 100 000 до 300 000 рублей (новая ч. 1.1 ст. 13.11 КоАП РФ).

Одновременно будут увеличены штрафы и за саму обработку персональных данных без получения соответствующего согласия в письменной форме (ч. 2 ст. 13.11 КоАП РФ). Сейчас обработка персональных данных без согласия гражданина грозит физлицам штрафом в размере от 3 000 до 5 000 рублей, должностным лицам – от 10 000 до 20 000 рублей, а организациям – от 15 000 до 75 000 рублей. Такие же штрафы назначаются и за обработку персональных данных с нарушением требований к составу сведений, включаемых в согласие.

С 27 марта обработка персональных данных без разрешения повлечет наложение на физлиц штрафа в размере от 6 000 до 10 000 рублей. Должностным лицам организаций и ИП совершение этих нарушений обойдется штрафом в размере от 20 000 до 40 000 рублей, а организациям – от 30 000 до 150 000 рублей.

Законно ли собирать данные людей? Что говорит об этом закон

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» не регламентирует объём той информации, которую можно считать персональными данными. В связи с чем на практике при сборе определённой информации, представители тех структур, в которые обратился потребитель, сами того нехотя, переходят ту невидимую грань, когда определённые запрашиваемые ими сведения являются персональными данными, которые нуждаются в особой правовой защите.

Часто от потребителя требуют сообщить достаточно исчерпывающую информацию, непосредственным образом относящуюся к его личности. Примером может стать примитивная анкета для получения бонусной или дисконтной карты, которую выдают сейчас практически все сферы услуг, будь то это простой продуктовый магазин, магазин детских товаров, зоомагазин, салон красоты, SPA-центр, медицинская клиника или дилерский центр по обслуживанию автовладельцев. Как правило, в таких анкетах стандартный набор вопросов, характер которых разнообразный — семейное положение, состояние здоровья, место жительства, данные, касающиеся имени и фамилии, количества детей в семье и их данные и т.д.

Вместе с тем зачастую запрашиваемая информация никаким образом не относится к непосредственной деятельности представителя той или иной услуги для потребителя. Тем самым представитель конкретной услуги переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну потребителя.

Проблема, касающаяся непосредственно объёма той информации, которую можно считать персональными данными, значима еще и потому, что в разных видах деятельности под персональными данными понимаются очень часто не совпадающие наборы данных. А разрозненность законодательной базы в данной области – также создаёт дополнительные трудности, при определении той информации, которая даёт возможность идентифицировать лицо. Так, например, в Федеральном законе от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к персональным данным отнесены сведения, касающиеся инициалов лица-потребителя той или иной медицинской услуги, его пола, даты и места рождения, гражданства, сведения о документе, удостоверяющем личность, данные о страховом номере индивидуального лицевого счета в системе обязательного пенсионного страхования, сведения, касающиеся анамнеза, диагноза и т.п.

Персональными данными в соответствии с Федеральным законом от 15.11.1997 N 143-ФЗ «Об актах гражданского состояния» считаются любые сведения, ставшие известными работнику органа записи актов гражданского состояния при регистрации актов гражданского состояния. Максимально подробно регламентированы правоотношения относительно персональных данных работника в Трудовом кодексе РФ (глава 14). Вместе с тем объем персональных данных определяется здесь достаточно широко: это информация, которая требуется работодателю в связи с трудовыми отношениями и касающаяся конкретно-определённого работника. Однако трудовое законодательство содержит прямое указание на то, что требовать от лица, поступающего на работу, документы или данные помимо регламентированных ТК РФ, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ – запрещено.

Меры по защите персональных данных

Законодательством определены обязательные меры, которые должны быть приняты оператором в целях защиты вышеуказанных данных. Вот некоторые из них:

• назначение структурного подразделения или лица, ответственного за осуществлением контроля за обработкой персональных данных;
• издание документов, определяющих политику в отношении обработки вышеуказанных данных;
• ознакомление работников оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и политикой оператора в отношении обработки данных. Более того, при необходимости, нужно также провести обучение указанных работников и иных лиц в порядке, установленном законодательством
• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе;
• осуществление технической и криптографической защиты данных в порядке, установленном законодательством;
• и иные.

Документы по защите персональных данных

Таким образом, основной документ, который должен быть разработан и утвержден – это документ, который будет определять политику в отношении обработки персональных данных: инструкция, положение, правила и т.п.

В него, в частности, нужно включить информацию, содержащую:

• цели обработки персональных данных;
• перечень собираемых данных;
• порядок получения согласия субъекта персональных данных, а также форму его получения;
• порядок сбора данных и работы с ними;
• сроки и порядок хранения персональных данных;
• порядок и случаи предоставления и распространения таких данных;
• меры по защите данных и доступу к ним.

О работе с персональными данными нужно уведомить Роскомнадзор

Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. ).

Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном. Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора . После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления. Проверить выполнение можно на сайте Роскомнадзора.

Серия и номер в паспортных данных

Для того, чтобы узнать серию и номер паспорта откройте вторую страницу вашего документа. Вверху страницы вы увидите ряд цифр в формате 2 цифры — пробел – 2 цифры – пробел – 6 цифр. Первые 4 цифры – это серия вашего паспорта. Тут можно отметить, что законодательно не закреплено такое понятие, как «серия паспорта». Само разделение чисел в таком формате является аналогичным с документами, выдаваемых во времена СССР.

Следующие 6 цифр являются номером паспорта гражданина РФ. Именно их нужно переписать при заполнении документов в графу номер паспорта. В ряде случаев, например, при покупке билетов в электронных терминалах, под номером будет подразумеваться все 10 цифр, включая серию документа.

Разберем на конкретном примере. Если в вашем паспорте написаны цифры «65 09 143552», то цифры «65 09» — будут серией документа, а «143552» — его номером. Как мы уже писали, серия документа зависит от региона. С помощью специальной таблицы, можно определить по цифрам из серии – регион, в котором был выдан документ. В нашем примере, 65 означает Свердловскую область, а 09 – год изготовления бланка, в нашем, примере, это 2009 год.

Информационная система персональных данных и оператор – что это?

Информационная система персональных данных (ИС) – система, которая представляет из себя соединение ПД, расположенных в базе данных, и различных видов оборудования, благодаря которым реальностью становится обработка ПД с употреблением средств автоматизирования.

Очень важным понятием является «оператор». Согласно ФЗ-152, оператор – государственный или муниципальный орган, юридическое или физлицо, которое в одиночку или коллективно с другими лицами производит обработку ПД, он же определяет ее цель, необходимость и состав.

Все процедуры, проводимые для установления защиты ПД при их обработке в ИС, должны проводиться только теми людьми или компаниями, которые состоят в списке, заранее созданном оператором. И только у них может быть разрешение, допускающее их к данным.

Нужно также принять меры профилактики, которые помогут избежать запрещенный доступ к сведениям.

Для этих целей все просмотры и активность регистрируются и отражаются в электронном журнале, проверять который входит в обязанности оператора.

Постоянным наблюдением за тем, как обрабатываются ПД операторами, проверкой и контролем, порядком охраны документации, занимается Роскомнадзор.

Похожие записи:

• Материнский капитал: что это, кому выдаётся и как его получить
• Намеренное ухудшение жилищных условий: норма и практика применения
• Просрочил замену водительского удостоверения: как восстановить?